Microsoft toplam olarak ele aldı 48 güvenlik açığı yazılımını Ocak 2024’teki Salı Yaması güncellemelerinin bir parçası olarak kapsıyor.
48 hatadan ikisi Kritik, 46’sı ise Önemli olarak derecelendirildi. Sorunların herhangi birinin kamuya açık olarak bilindiğine veya yayınlandığı sırada aktif saldırı altında olduğuna dair hiçbir kanıt yok, bu da onu sıfır gün içermeyen üst üste ikinci Salı Yaması yapıyor.
Düzeltmeler ek olarak dokuz güvenlik açığı Aralık 2023 Salı Yaması güncellemelerinin yayınlanmasından bu yana Chromium tabanlı Edge tarayıcısında çözülen sorunlar. Bu aynı zamanda Google’ın vahşi doğada aktif olarak istismar edildiğini söylediği sıfır gün (CVE-2023-7024, CVSS puanı: 8,8) için bir düzeltmeyi de içeriyor.
Bu ay yamalanan kusurlardan en kritik olanları şunlardır:
- CVE-2024-20674 (CVSS puanı: 9,0) – Windows Kerberos Güvenlik Özelliği Güvenlik Açığı Atlama
- CVE-2024-20700 (CVSS puanı: 7,5) – Windows Hyper-V Uzaktan Kod Yürütme Güvenlik Açığı
Microsoft, CVE-2024-20674 için bir danışma belgesinde “Bu güvenlik açığı kimliğe bürünmeye izin verdiği için kimlik doğrulama özelliği atlanabilir” dedi.
“Kimliği doğrulanmış bir saldırgan, bir ortadaki makine (MitM) saldırısı veya başka bir yerel ağ sahtekarlığı tekniği oluşturarak bu güvenlik açığından yararlanabilir ve ardından kendisini Kerberos kimlik doğrulama sunucusu olarak taklit etmek için istemci kurbanın makinesine kötü amaçlı bir Kerberos mesajı göndererek bu güvenlik açığından yararlanabilir.”
Ancak şirket, başarılı bir şekilde yararlanmanın, saldırganın öncelikle kısıtlı ağa erişmesini gerektirdiğini belirtti. Güvenlik araştırmacısı ldwilmore34 kusuru keşfetme ve bildirme konusunda itibar kazandı.
Öte yandan CVE-2024-20700, uzaktan kod yürütmek için ne kimlik doğrulaması ne de kullanıcı etkileşimi gerektirmez; ancak bir yarış koşulunu kazanmak, bir saldırıyı düzenlemek için bir ön koşuldur.
Yazılım lideri Adam Barnett, “Saldırganın tam olarak nerede konumlandırılması gerektiği (hipervizörün bulunduğu LAN veya hipervizör tarafından oluşturulan ve yönetilen bir sanal ağ) veya uzaktan kod yürütmenin hangi bağlamda gerçekleşeceği açık değil” dedi. Rapid7’deki mühendis The Hacker News’e söyledi.
Diğer önemli kusurlar arasında CVE-2024-20653 (CVSS puanı: 7,8), Ortak Günlük Dosya Sistemi (CLFS) sürücüsünü etkileyen bir ayrıcalık yükseltme hatası ve CVE-2024-0056 (CVSS puanı: 8,7), System.Data.SqlClient ve Microsoft.Data.SqlClient’i etkileyen bir güvenlik atlaması.
Redmond, CVE-2024-0056 hakkında şunları söyledi: “Bu güvenlik açığından başarıyla yararlanan bir saldırgan, ortadaki makine (MitM) saldırısı gerçekleştirebilir ve istemci ile sunucu arasındaki TLS trafiğinin şifresini çözebilir, okuyabilir veya değiştirebilir.”
Microsoft ayrıca, bir güvenlik açığı nedeniyle FBX dosyalarını Windows’ta Word, Excel, PowerPoint ve Outlook’a ekleme özelliğini varsayılan olarak devre dışı bıraktığını belirtti (CVE-2024-20677CVSS puanı: 7,8) uzaktan kod yürütülmesine yol açabilir.
Microsoft, “Daha önce bir FBX dosyasından eklenen Office belgelerindeki 3 boyutlu modeller, ekleme sırasında ‘Dosyaya Bağlantı’ seçeneği seçilmediği sürece beklendiği gibi çalışmaya devam edecek” dedi. ayrı uyarı. “GLB (İkili GL İletim Formatı), Office’te kullanım için önerilen alternatif 3D dosya formatıdır.”
Microsoft’un geçen yıl Office’te SketchUp (SKP) dosya biçimini devre dışı bırakmak için benzer bir adım attığını belirtmekte fayda var. Zscaler’in 117 güvenlik açığını keşfetmesi Microsoft 365 uygulamalarında.
Diğer Satıcıların Yazılım Yamaları
Microsoft’a ek olarak, son birkaç hafta içinde aşağıdakiler de dahil olmak üzere çeşitli güvenlik açıklarını düzeltmek için diğer satıcılar tarafından da güvenlik güncellemeleri yayımlandı: